Datenschleuder des tages

Hat hier etwa jemand geglaubt, dass mit empfindlich weit in die privat- und intimsfäre reinragenden medizinischen daten sorgfältiger umgegangen wird? Nun, coronapoint belehrt euch eines besseren:

Normalerweise antwortet ein Server auf so eine Anfrage lediglich mit einer kurzen Erfolgsmeldung: “Yay, Problem verstanden, du bekommst eine Mail”. Der Server von Coronapoint ist hier leider etwas gesprächiger und beschreibt sehr ausführlich, was im Hintergrund passiert. Dabei erzählt er auch fröhlich den Inhalt der verschickten Mail – inklusive dem Passwort […] man benötigt gar keinen Zugriff auf den E-Mail-Account, um das Passwort zu bekommen. Es reicht, die E-Mail-Adresse zu kennen, diese in das Formular einzutragen und dann zuzuschauen, was der Server an den Mail-Account schickt […] Der QR-Code ist eine Bilddatei, die sich unter https://e.coronapoint.de/cwa/qrcodes/{Buchungsnnummer}.png abrufen lässt […] lassen sich solche Zahlen einfach herunterzählen […] nach nur zwei Versuchen landen wir auf dem QR-Code einer anderen Person […] Zugriff auf mehr als 88.000 QR-Codes der letzten 20 Tage […] die QR-Codes können noch mehr Daten enthalten als nur ein Test-Hash. Die CWA unterscheidet zwischen namentlichen und anonymen Tests. Bei namentlichen Tests werden neben dem Hash auch eine Test-ID, Vorname, Nachname und Geburtsdatum im QR-Code hinterlegt […] mehr als 53.000 für namentliche Tests – und enthielten somit persönliche Daten […] dass die Passwörter nur 4 Zeichen lang sind und nur aus den Zeichen 0123456789ABCDEF bestehen. Selbst ein alter Laptop kann die 65.536 möglichen Kombinationen in Sekundenbruchteilen durchprobieren […] wird ein Link zusammengebaut, der wie folgt aussieht: https://e.coronapoint.de/pdfs/results/result_{Buchungsnummer}.pdf […] waren dort mehr als 140.000 Testergebnisse abrufbar […] Geschlecht, Name, Adresse, PLZ, Ort , Telefonnummer, E-Mail, Geburtsdatum, Ausweis-Nr. (falls angegeben), Test-Name, Hersteller, Test-Datum, Uhrzeit, Testende Person (Name), Testergebnis

Meine fresse, da will die hand gar nicht mehr aus dem gesicht raus! 🤦‍♂️️

Ich wünsche allen genießern meiner zeit auch weiterhin viel spaß beim festen glauben an den ganz besonderen sonderschutz der persönlichen und medizinischen daten im gesundheitswesen! Müsst ihr ganz feste dran glauben! An die daten kam man übrigens weiterhin, nachdem coronapoint über die fehler informiert wurde und verlautbarte, dass die fehler beseitigt worden. Warum sollten die das auch selbst testen?

Also: immer schön feste an die sorgfalt irgendwelcher datenverarbeitenden scheißklitschen glauben! Die scheißliste wäxt und wäxt und wäxt.

Ach ja:

Auch die Betroffenen hat Coronapoint bisher nicht informiert, dabei sind ihnen diese Lücken seit über einer Woche bekannt

Mal schauen, wie das bußgeld nach DSGVO aussieht… oh, die DSGVO ist nicht geschrieben worden, um solche datenschleudern zur rechenschaft ziehen zu können, sondern nur, um privaten mitgestaltern des internetzes ein paar weitere juristische unwägbarkeiten aufzubürden? Na, dann kann man wohl nix machen, herr datenschutzvermeidungsbeauftrager.

Datenschleuder des tages

„Eventus media international“ hat namen, wohnanschriften, mäjhladressen, geburtsdaten, testdatum und ergebnis des tests von mehreren tausend menschen im internetz veröffentlicht, die einen coronatest gemacht haben [archivversjon]. Es reichte für den zugriff aus, ID-kohds durchzuprobieren. Weitere sicherheitsvorkehrungen gab es nicht. Oder anders gesagt: es war nicht einmal strafbar, da keine besonderen sicherheitsvorkehrungen überwunden werden mussten.

Nicht, dass hier noch jemand glaubt, mit den weit in die privat- und intimsfäre reinreichenden gesundheitsdaten, die irgendwo massenhaft angesammelt werden, würde man irgendwie verantwortungsvoller als mit anderen daten umgehen! Aber nein doch, das würde ja nur innovazjon behindern… oder, um es mit dem PRessesprecher dieser datenschleuder zu sagen:

Dass Hacker trotzdem auf einen Teil der Daten zugreifen konnten, tut uns leid, und wir entschuldigen uns bei den betroffenen Kunden

Ditschitäll first, entschuldigung second. 🤮️

Übrigens, herr PRessesprecher: sie können sich gar nicht entschuldigen. Sie können nur um entschuldigung bitten. Selbst angesichts so einer datenschleuderei labern sie noch wie ein arrogantes arschloch daher! Sie sind widerlich. Gehen sie bitte sterben!

Ich bin mal gespannt, wie hoch das bußgeld nach DSGVO ausfällt. Ob es wieder nur ein paar cent pro betroffenen datensatz werden, oder ob wenigstens beim rumschleudern mit gesundheitsdaten ein etwas härterer maßstab angelegt wird. Oder ist diese DSGVO doch nur dazu da, autokennzeichen zu schützen, während auf den datenschutz von menschen geschissen wird?

Corona des tages

Wie mit den Kosten dieser Tests umgegangen wird, ist aber überhaupt nicht nachvollziehbar. Einen festgelegten Preis hat der Abstrich nicht – manche Labore berechnen um die 130 Euro, andere mehr als 200 Euro. Hinzu kommen mögliche Kosten für den Arzt oder etwaiges Material. Diesen Betrag für Rückkehrer aus Risikogebieten zahlen künftig wir alle – entweder die Steuerzahler, sollte sich der Vorschlag durchsetzen, dass Bund und Länder für die Kosten aufkommen; oder die Krankenversicherten, wenn die Tests – das ist ein anderer Vorschlag – künftig von den Krankenkassen übernommen werden. Die vielen, die in diesem Jahr aus Respekt vor dem Virus zu Hause bleiben – oder es sich gar nicht erst leisten können, eine Reise in die zumeist außereuropäischen Risikostaaten zu unternehmen -, zahlen also für die wenigen, die das nötige Kleingeld haben oder die nötige Risikofreude oder beides. Insofern ist es eine völlig verrückte Idee

Auch weiterhin viel spaß mit der bummsregierung unter der bleiernen raute Angela Merkels!